मैं से एक कोड हस्ताक्षर प्रमाण पत्र मिल गया है Startcom (StartSSL)। मैं उनकी सेवा से बहुत संतुष्ट हूँ: उनकी ग्राहक सेवा बहुत तेज़ है, और उनकी कीमतें बहुत ही उचित हैं।
कोड-हस्ताक्षर प्रमाणपत्र प्राप्त करना
कोड हस्ताक्षर प्रमाणपत्र प्राप्त करने के लिए कक्षा 2 पहचान सत्यापन की आवश्यकता होती है । StartCom आपको पूरी प्रक्रिया के माध्यम से मार्गदर्शन करता है (उत्कृष्ट प्रतिक्रिया दरों के साथ, आमतौर पर मेरे अनुभव में दस मिनट के भीतर)।
यदि आप एक ही बार में विवरण प्राप्त करना चाहते हैं, तो इस ब्लॉग पोस्ट को पढ़ें । मुझे एक घंटे के भीतर (59.90 डॉलर के शुल्क के लिए, पेपैल के माध्यम से) सत्यापित किया गया था।
मान्य होने के बाद, एक नई निजी कुंजी और एक प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) उत्पन्न करें। ध्यान दें कि सार्वजनिक कुंजी को छोड़कर सभी क्षेत्रों को अनदेखा किया गया है । प्रमाणपत्र में सभी जानकारी आपके सीएसआर से नहीं बल्कि पहचान सत्यापन के दौरान आपके द्वारा प्रदान की गई जानकारी से सुरक्षित है ।
इसे वेब इंटरफ़ेस के माध्यम से सबमिट करें और आपको जल्दी से एक नया प्रमाणपत्र मिलेगा जो दो साल के लिए वैध है (मुझे एक घंटे के भीतर मेरा मिल गया)।
अंक: लाइफटाइम साइनिंग ओआईडी
StartCom की कक्षा 2 के प्रमाणपत्रों में लाइफटाइम साइनिंग OID सेट है। इस बिट की वजह से, प्रमाण पत्र की समय सीमा समाप्त होने के बाद भी, हस्ताक्षरित कोड का हस्ताक्षर अमान्य हो जाएगा।
जब मैंने इस OID के कारण के लिए Eddy Nigg (StartCom का COO / CTO) से पूछा, तो उन्होंने जवाब दिया:
सर्टिफिकेट की समय सीमा समाप्त होने के बाद हमें CRL को 20 साल तक चालू रखना होगा। यह कुछ ऐसा है जो हम ईवी लेवल सेर्ट्स (बहुत कम वॉल्यूम, अलग-अलग भुगतान की शर्तों) के लिए कर सकते हैं, लेकिन इस लाभ के लिए केवल कक्षा 2 के लिए कीमत बढ़ाएंगे (जहां कोड हस्ताक्षर इस स्तर में विकल्पों का केवल एक हिस्सा है)।
टाइमस्टैम्पिंग इस प्रकार केवल विस्तारित मान्यता (ईवी) के बाद उपलब्ध है, जो केवल कानूनी रूप से स्थापित संगठनों के लिए उपलब्ध है और इसकी लागत 199.90 डॉलर है। इसलिए, व्यक्तिगत डेवलपर्स प्रारंभ.कॉम से कोड हस्ताक्षर प्रमाण पत्र के साथ टाइमस्टैम्पिंग का उपयोग नहीं कर सकते हैं ।
लंबे समय तक, मैंने इस सीमा को एक बड़ा मुद्दा माना। हाल ही में, मैंने अपना दिमाग बदल दिया: यह केवल हर दो साल में एक बार होता है, सुरक्षा-दिमाग वाले उपयोगकर्ता मेरे सॉफ़्टवेयर के नवीनतम संस्करण को प्राप्त करने के लिए अधिक इच्छुक हो सकते हैं, और सॉफ़्टवेयर के पुराने संस्करण अभी भी काम करेंगे (उन लोगों के लिए जो इसका उपयोग करना चाहते हैं; हालांकि एक सत्यापित हस्ताक्षर के बिना)।
नोट: लाइफटाइम साइनिंग फ्लैग सेट होने पर भी हमेशा अपना कोड टाइमस्टैम्प करें ! प्रमाण पत्र की समाप्ति की तारीख तक भी समयावधि हस्ताक्षर मान्य रहेंगे, तब भी जब प्रमाण पत्र निरस्त कर दिया गया हो (जाहिर है, केवल तभी जब प्रमाण पत्र निरस्त किया गया था)।
प्रमाण पत्र का व्यावहारिक उपयोग
StartCom पर, आप केवल सत्यापन के लिए भुगतान करते हैं। पहचान सत्यापन 350 दिनों के लिए मान्य है, और इस अवधि के दौरान, आप नि: शुल्क के लिए कोड हस्ताक्षर प्रमाणपत्र का अनुरोध कर सकते हैं। आपके पास केवल एक मान्य कोड हस्ताक्षर प्रमाण पत्र हो सकता है, और इसका उपयोग किसी भी कोड (MSI, DLL, XPI, ...) पर हस्ताक्षर करने के लिए किया जा सकता है, लेकिन ड्राइवर कोड नहीं (इसके लिए EV की आवश्यकता होती है)।
प्रमाण पत्र पर एक विशेषता को बदलने के लिए, पिछले प्रमाण पत्र को एक नया अनुरोध किया जाना चाहिए। एक प्रमाणपत्र के निरसन की लागत 29.90 $ है। हालाँकि जब मैंने कोड हस्ताक्षर प्रमाण पत्र प्राप्त करने के एक दिन बाद अपना ईमेल बदल दिया, तो उन्होंने बिना शुल्क के मेरे प्रमाण पत्र को असाधारण रूप से निरस्त कर दिया (मुझे सकारात्मक आश्चर्य हुआ)!
समय सीमा समाप्ति
जब आपका प्रमाणपत्र समाप्त होने वाला होता है (लगभग दो साल बाद), तो आपको एक सूचना (दो सप्ताह पहले) मिल जाती है। यदि आपकी सत्यापित पहचान अभी भी मान्य है (याद रखें कि सत्यापन 350 दिनों के बाद समाप्त हो जाता है; तो आपको 59.90 $ के लिए फिर से अपनी पहचान की पुष्टि करनी होगी), आप पिछले प्रमाणपत्र को रद्द किए बिना एक नए प्रमाणपत्र का अनुरोध कर सकते हैं। अपने सॉफ़्टवेयर की एक नई रिलीज़ प्रकाशित करना न भूलें जो इस नए कोड पर हस्ताक्षर करने के प्रमाण पत्र के साथ हस्ताक्षरित है, क्योंकि पिछले रिलीज़ जल्द ही "सत्यापित नहीं" (या सत्यापित नहीं) या कुछ इसी तरह दिखाई देंगे।
OCSP
जब मुझे मेरा प्रमाणपत्र मिला, तो मैंने अपने फ़ायरफ़ॉक्स ऐड-ऑन पर हस्ताक्षर किए। हालाँकि, यह अभी भी "(लेखक सत्यापित नहीं)" दिखा, भले ही मेरी XPI फ़ाइल सही ढंग से हस्ताक्षरित थी। यह पता चला कि फ़ायरफ़ॉक्स को वर्तमान प्रमाणपत्र का दर्जा नहीं मिला, जब उसने मेरे नए प्रमाणपत्र के निरस्तीकरण स्थिति के लिए StartCom के OCSP सर्वरों को समझा। संभवतः प्रासंगिक मंच विषय
लगभग आधे दिन के बाद, मेरा प्रमाण पत्र OCSP सर्वरों के लिए जाना जाता था, और मेरा नाम उम्मीद के मुताबिक दिखा। सबक सीखा: जब आपको एक नया प्रमाणपत्र मिला है, तो अपने सॉफ़्टवेयर को नए हस्ताक्षर के साथ प्रकाशित करने से एक दिन पहले प्रतीक्षा करें।